Azure AD Connect Sync: VerzeichniserweiterungenAzure AD Connect sync: Directory extensions

Sie können Verzeichniserweiterungen verwenden, um das Schema in Azure Active Directory (Azure AD) um Ihre eigenen Attribute aus dem lokalen Active Directory zu erweitern.You can use directory extensions to extend the schema in Azure Active Directory (Azure AD) with your own attributes from on-premises Active Directory. Dank dieses Features können Sie Branchen-Apps erstellen, indem Sie Attribute nutzen, die Sie weiterhin lokal verwalten.This feature enables you to build LOB apps by consuming attributes that you continue to manage on-premises. Diese Attribute können über Erweiterungen genutzt werden.These attributes can be consumed through extensions. Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen.You can see the available attributes by using Microsoft Graph Explorer. Sie können diese Funktion auch zum Erstellen dynamischer Gruppen in Azure AD verwenden.You can also use this feature to create dynamic groups in Azure AD.

Derzeit können diese Attribute von keiner Office 365-Workload genutzt werden.At present, no Office 365 workload consumes these attributes.

Anpassen der mit Azure AD zu synchronisierenden AttributeCustomize which attributes to synchronize with Azure AD

Sie konfigurieren im Installations-Assistenten im Pfad der benutzerdefinierten Einstellungen, welche zusätzlichen Attribute synchronisiert werden sollen.You configure which additional attributes you want to synchronize in the custom settings path in the installation wizard.

Hinweis

Im Feld „Verfügbare Attribute“ muss die Groß-/Kleinschreibung beachtet werden.The Available Attributes box is case-sensitive.

Schemaerweiterungs-Assistent

Bei der Installation werden folgenden Attribute als zulässige Kandidaten angezeigt:The installation shows the following attributes, which are valid candidates:

  • Benutzer- und GruppenobjekttypenUser and Group object types
  • Einwertige Attribute: Zeichenfolge, Boolescher Wert, ganze Zahl, BinärwertSingle-valued attributes: String, Boolean, Integer, Binary
  • Mehrwertige Attribute: Zeichenfolge, BinärwertMulti-valued attributes: String, Binary

Hinweis

Azure AD Connect unterstützt zwar das Synchronisieren mehrwertiger Active Directory-Attribute für Azure AD als mehrwertige Verzeichniserweiterungen, doch gibt es derzeit keine Möglichkeit, die in Attribute für mehrwertige Verzeichniserweiterungen hochgeladenen Daten abzurufen/zu nutzen.Although Azure AD Connect supports synchronizing multi-valued Active Directory attributes to Azure AD as multi-valued directory extensions, there is currently no way to retrieve/consume the data uploaded in multi-valued directory extension attributes.

Die Attributliste wird aus dem Schemacache gelesen, der im Zuge der Installation von Azure AD Connect erstellt wird.The list of attributes is read from the schema cache that's created during installation of Azure AD Connect. Wenn Sie das Active Directory-Schema um zusätzliche Attribute erweitert haben, müssen Sie das Schema aktualisieren, damit die neuen Attribute angezeigt werden.If you have extended the Active Directory schema with additional attributes, you must refresh the schema before these new attributes are visible.

Ein Objekt in Azure AD kann bis zu 100 Attribute für Verzeichniserweiterungen aufweisen.An object in Azure AD can have up to 100 attributes for directory extensions. Die maximale Länge beträgt 250 Zeichen.The maximum length is 250 characters. Längere Attributwerte werden vom Synchronisierungsmodul gekürzt.If an attribute value is longer, the sync engine truncates it.

Konfigurationsänderungen in Azure AD, die vom Assistenten vorgenommen wurdenConfiguration changes in Azure AD made by the wizard

Während der Installation von Azure AD Connect wird eine Anwendung registriert, in der diese Attribute verfügbar sind.During installation of Azure AD Connect, an application is registered where these attributes are available. Diese Anwendung wird im Azure-Portal angezeigt.You can see this application in the Azure portal. Ihr Name ist immer Tenant Schema Extension App .Its name is always Tenant Schema Extension App.

Schemaerweiterungs-App

Zum Anzeigen dieser App müssen Sie Alle Anwendungen auswählen.Make sure you select All applications to see this app.

Die Attribute weisen das Präfix extension _{ApplicationId}_ auf.The attributes are prefixed with extension _{ApplicationId}_. Die Anwendungs-ID (ApplicationId) besitzt für alle Attribute in Ihrem Azure AD-Mandanten den gleichen Wert.ApplicationId has the same value for all attributes in your Azure AD tenant. Dieser Wert wird für alle anderen Szenarien in diesem Thema benötigt.You will need this value for all other scenarios in this topic.

Anzeigen von Attributen mit der Microsoft Graph-APIViewing attributes using the Microsoft Graph API

Diese Attribute sind jetzt in Microsoft Graph-Explorer über die Microsoft Graph-API verfügbar.These attributes are now available through the Microsoft Graph API, by using Microsoft Graph Explorer.

Hinweis

In der Microsoft Graph-API müssen Sie die zurückzugebenden Attribute anfordern.In the Microsoft Graph API, you need to ask for the attributes to be returned. Wählen Sie die Attribute wie folgt explizit aus: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.Explicitly select the attributes like this: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Weitere Informationen finden Sie unter Microsoft Graph: Verwenden von Abfrageparametern.For more information, see Microsoft Graph: Use query parameters.

Verwenden der Attribute in dynamischen GruppenUse the attributes in dynamic groups

Eines der nützlicheren Szenarien ist die Verwendung dieser Attribute in dynamischen Sicherheits- oder Office 365-Gruppen.One of the more useful scenarios is to use these attributes in dynamic security or Office 365 groups.

  1. Erstellen Sie eine neue Gruppe in Azure AD.Create a new group in Azure AD. Vergeben Sie einen geeigneten Namen, und stellen Sie sicher, dass Dynamischer Benutzer für Mitgliedschaftstyp ausgewählt ist.Give it a good name and make sure the Membership type is Dynamic User.

    Screenshot mit einer neuen Gruppe

  2. Wählen Sie Dynamische Abfrage hinzufügen aus.Select to Add dynamic query. Wenn Sie sich die Eigenschaften ansehen, werden diese erweiterten Attribute nicht angezeigt.If you look at the properties, then you will not see these extended attributes. Sie müssen diese zunächst manuell hinzufügen.You need to add them first. Klicken Sie auf Benutzerdefinierte Erweiterungseigenschaften abrufen, geben Sie die Anwendungs-ID ein, und klicken Sie auf Eigenschaften aktualisieren.Click Get custom extension properties, enter the Application ID, and click Refresh properties.

    Screenshot, auf dem Verzeichniserweiterungen hinzugefügt wurden

  3. Öffnen Sie die Dropdownliste mit Eigenschaften. Die von Ihnen hinzugefügten Attribute sind nun sichtbar.Open the property drop-down and note that the attributes you added are now visible.

    Screenshot mit neuen Attributen, die auf der Benutzeroberfläche angezeigt werden

    Vervollständigen Sie den Ausdruck entsprechend Ihren Anforderungen.Complete the expression to suit your requirements. In unserem Beispiel wird die Regel auf (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") festgelegt.In our example, the rule is set to (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").

  4. Geben Sie Azure AD nach dem Erstellen der Gruppe eine gewisse Zeit zum Hinzufügen der Mitglieder, und überprüfen Sie diese dann.After the group has been created, give Azure AD some time to populate the members and then review the members.

    Screenshot mit Mitgliedern in der dynamischen Gruppe

Nächste SchritteNext steps

Weitere Informationen zur Konfiguration der Azure AD Connect-Synchronisierung .Learn more about the Azure AD Connect sync configuration.

Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.